Microsoft 和主要云提供商开始采取措施,推动其企业客户采用更安全的身份验证形式并消除基本的安全漏洞,例如通过未加密的通道使用用户名和密码来访问云服务。
例如,微软将从 1 月 150 日起取消其 Exchange Online 服务使用基本身份验证的功能,并要求其客户使用基于令牌的身份验证。与此同时,谷歌已在其两步验证流程中自动注册了 XNUMX 亿人,在线云提供商 Rackspace 计划在今年年底前关闭明文电子邮件协议。
Malwarebytes 的恶意软件情报研究员 Pieter Arntz 表示,这个最后期限是对企业的一个警告,确保其云服务访问安全的努力不能再拖延了。 最近写了一篇博客文章 强调 Microsoft Exchange Online 用户即将到来的截止日期。
“我认为平衡正在转变,他们认为可以让用户相信额外的安全性符合他们的最大利益,同时尝试提供仍然相对易于使用的解决方案,”他说。 “微软通常是潮流引领者,多年前就宣布了这些计划,但你仍然会发现组织在采取适当措施方面举步维艰。”
与身份相关的数据泄露事件呈上升趋势
虽然一些具有安全意识的公司已采取主动措施确保云服务的访问安全,但其他公司必须受到激励——云提供商、 比如微软,越来越愿意这样做,特别是当公司努力应对更多与身份相关的违规行为时。根据该机构的数据,到 2022 年,84% 的公司遭遇了与身份相关的泄露,高于前两年的 79%。 身份定义安全联盟的“2022 年保护数字身份的趋势”报告。
关闭基本形式的身份验证是阻止攻击者的一种简单方法,攻击者越来越多地使用凭证填充和其他大规模访问尝试作为危害受害者的第一步。身份验证薄弱的公司容易遭受暴力攻击、滥用重复使用的密码、通过网络钓鱼窃取凭据以及会话劫持。
云身份安全提供商 Ermetic 的研究主管 Igal Gofman 表示,一旦攻击者获得了对企业电子邮件服务的访问权限,他们就可以窃取敏感信息或进行破坏性攻击,例如企业电子邮件泄露 (BEC) 和勒索软件攻击服务。
“使用弱身份验证协议,尤其是在云中,可能非常危险,并会导致重大数据泄露,”他说。 “民族国家和网络犯罪分子不断滥用薄弱的身份验证协议,对云服务执行各种不同的暴力攻击。”
支持身份验证安全性的好处可以带来立竿见影的好处。谷歌发现,在其两步验证过程中自动注册人员 帐户被盗事件减少了 50%。根据 IDSA 的“43 年数字身份安全趋势”报告,很大一部分遭受泄露的公司 (2022%) 认为,采用多因素身份验证可以阻止攻击者。
走向零信任架构
此外,云和 零信任举措 IDSA 技术工作组在发给 Dark Reading 的电子邮件中表示,推动了对更安全身份的追求,作为这些举措的一部分,超过一半的公司投资于身份安全。
对于许多公司来说,勒索软件和其他威胁促使公司放弃仅依赖于用户凭据的简单身份验证机制,这导致公司寻求最大限度地减少攻击面并尽可能强化防御,IDSA 的技术工作小组写道。
“随着大多数公司加速实施零信任计划,他们也在可行的情况下实施更强大的身份验证——尽管令人惊讶的是,仍然有一些公司在基础知识上苦苦挣扎,或者尚未接受零信任,让他们暴露在外,”那里的研究人员写道。
确保身份安全的障碍依然存在
每个主要云提供商都通过安全通道并使用安全令牌(例如 OAuth 2.0)提供多因素身份验证。 Malwarebytes 的 Arntz 表示,虽然开启该功能可能很简单,但管理安全访问可能会导致 IT 部门的工作量增加——企业需要为此做好准备。
他说,公司“有时在管理谁有权访问该服务以及他们需要哪些权限方面会失败”。 “更高的身份验证级别会给 IT 人员带来额外的工作量,这就是瓶颈。”
IDSA 技术工作组的研究人员解释说,遗留基础设施也是一个障碍。
他们指出:“虽然微软一直在推进其身份验证协议,但遗留应用程序、协议和设备的迁移和向后兼容性的挑战推迟了它们的采用。” “基本身份验证的终结即将到来,这是个好消息。”
以消费者为中心的服务在采用更安全的身份验证方法方面也进展缓慢。虽然谷歌的举措提高了许多消费者的安全性,苹果也为超过 95% 的用户启用了双因素身份验证,但大多数消费者仍然只对少数服务使用多因素身份验证。
IDSA 的报告显示,虽然近三分之二 (64%) 的公司已将保护数字身份的举措确定为 2022 年的三大优先事项之一,但只有 12% 的组织为其用户实施了多重身份验证。然而,企业正在寻求提供这种选择,29% 的以消费者为中心的云提供商目前实施了更好的身份验证,21% 的企业在未来进行了规划。
